論文の概要: Trivial Trojans: How Minimal MCP Servers Enable Cross-Tool Exfiltration of Sensitive Data

• arxiv url: http://arxiv.org/abs/2507.19880v1
• Date: Sat, 26 Jul 2025 09:22:40 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-07-29 16:23:56.36666
• Title: Trivial Trojans: How Minimal MCP Servers Enable Cross-Tool Exfiltration of Sensitive Data
• Title（参考訳）: Trivial Trojans: 最小のMPPサーバは、どのようにして機密データのクロスツール・エクスプロイトを可能にするか
• Authors: Nicola Croce, Tobin South,
• Abstract要約: Model Context Protocol(MCP)は、AIエージェントと外部サービス間のシームレスな通信を可能にする、AI-tool統合の大幅な進歩を表している。 本稿では、基本的なプログラミングスキルと無料のウェブツールしか必要としない、高度化されていない脅威アクターが、MCPの信頼モデルを利用して、機密性の高い財務データを流出させることを実証する。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: The Model Context Protocol (MCP) represents a significant advancement in AI-tool integration, enabling seamless communication between AI agents and external services. However, this connectivity introduces novel attack vectors that remain largely unexplored. This paper demonstrates how unsophisticated threat actors, requiring only basic programming skills and free web tools, can exploit MCP's trust model to exfiltrate sensitive financial data. We present a proof-of-concept attack where a malicious weather MCP server, disguised as benign functionality, discovers and exploits legitimate banking tools to steal user account balances. The attack chain requires no advanced technical knowledge, server infrastructure, or monetary investment. The findings reveal a critical security gap in the emerging MCP ecosystem: while individual servers may appear trustworthy, their combination creates unexpected cross-server attack surfaces. Unlike traditional cybersecurity threats that assume sophisticated adversaries, our research shows that the barrier to entry for MCP-based attacks is alarmingly low. A threat actor with undergraduate-level Python knowledge can craft convincing social engineering attacks that exploit the implicit trust relationships MCP establishes between AI agents and tool providers. This work contributes to the nascent field of MCP security by demonstrating that current MCP implementations allow trivial cross-server attacks and proposing both immediate mitigations and protocol improvements to secure this emerging ecosystem.
• Abstract（参考訳）: Model Context Protocol(MCP)は、AIエージェントと外部サービス間のシームレスな通信を可能にする、AI-tool統合の大幅な進歩を表している。 しかし、この接続は、ほとんど探索されていない新しい攻撃ベクトルを導入している。 本稿では、基本的なプログラミングスキルと無料のウェブツールしか必要としない、高度化されていない脅威アクターが、MCPの信頼モデルを利用して、機密性の高い財務データを流出させることを実証する。 本稿では,悪質な天気予報サーバが悪質な機能を装って,正統な銀行ツールを発見し,利用してユーザアカウントの残高を盗む,概念実証攻撃を提案する。 攻撃チェーンは高度な技術知識、サーバーインフラ、金融投資を必要としない。 個々のサーバが信頼できるように見える一方で、それらの組み合わせは予期せぬクロスサーバアタックサーフェスを発生させる。 高度な敵を狙う従来のサイバーセキュリティの脅威とは異なり、我々の研究は、MPPベースの攻撃の侵入障壁が驚くほど低いことを示している。 学部レベルのPython知識を持つ脅威俳優は、MSPがAIエージェントとツールプロバイダの間で確立した暗黙の信頼関係を活用するような、説得力のある社会工学的攻撃を行うことができる。 この作業は、現在のMPP実装がサーバ間攻撃を自明に可能にし、この新興エコシステムを保護するために即時緩和とプロトコルの改善を提案できることを実証することによって、MBPセキュリティの初期段階に寄与する。

関連論文リスト

• VisualTrap: A Stealthy Backdoor Attack on GUI Agents via Visual Grounding Manipulation [68.30039719980519]
  この研究は、GUI要素に対するGUIエージェントをマッピングするテキストプランの視覚的基盤が脆弱性をもたらすことを明らかにしている。 視覚的接地を目的としたバックドア攻撃では、適切なタスク解決計画が与えられた場合でもエージェントの行動が損なわれる可能性がある。 そこで我々は,エージェントが意図したターゲットではなく,意図した位置をトリガーするテキストプランを見つけることをミスリードすることで,グラウンドディングをハイジャックできるVisualTrapを提案する。
  論文  参考訳（メタデータ） (2025-07-09T14:36:00Z)
• From Prompt Injections to Protocol Exploits: Threats in LLM-Powered AI Agents Workflows [1.202155693533555]
  構造化関数呼び出しインタフェースを持つ大規模言語モデル(LLM)は、リアルタイムデータ検索と計算機能を大幅に拡張した。 しかし、プラグイン、コネクター、エージェント間プロトコルの爆発的な増殖は、発見メカニズムやセキュリティプラクティスよりも大きくなっている。 ホスト・ツー・ツールとエージェント・ツー・エージェント・エージェントの通信にまたがる,LDM-エージェントエコシステムに対する最初の統一エンドツーエンド脅威モデルを導入する。
  論文  参考訳（メタデータ） (2025-06-29T14:32:32Z)
• We Should Identify and Mitigate Third-Party Safety Risks in MCP-Powered Agent Systems [48.345884334050965]
  MCPが導入した新たな安全リスク問題に細心の注意を払うため, LLMの安全に関する研究コミュニティを提唱する。 MCPによるエージェントシステムの安全性のリスクは本当の脅威であり、その防御は自明なものではないことを実証するために、一連の実験を行った。
  論文  参考訳（メタデータ） (2025-06-16T16:24:31Z)
• Beyond the Protocol: Unveiling Attack Vectors in the Model Context Protocol Ecosystem [9.147044310206773]
  Model Context Protocol(MCP)は、LLM(Large Language Model)アプリケーションと外部ツールやリソースとのシームレスな相互作用を可能にするために設計された新しい標準である。 本稿では,MPPエコシステムを対象とした攻撃ベクトルに関する最初の体系的研究について述べる。
  論文  参考訳（メタデータ） (2025-05-31T08:01:11Z)
• MPMA: Preference Manipulation Attack Against Model Context Protocol [24.584415826402935]
  Model Context Protocol (MCP)は、大きな言語モデル(LLM)のインタフェースマッピングを標準化し、外部データやツールにアクセスする。 サードパーティ製のMSPサーバをカスタマイズしたバージョンは、潜在的なセキュリティ上の脆弱性を露呈する。 本稿では,MPMA(MPP Preference Manipulation Attack)と呼ばれる新しいセキュリティ脅威を最初に紹介する。
  論文  参考訳（メタデータ） (2025-05-16T11:55:12Z)
• DoomArena: A framework for Testing AI Agents Against Evolving Security Threats [84.94654617852322]
  本稿では,AIエージェントのセキュリティ評価フレームワークであるDoomArenaを紹介する。 プラグインフレームワークであり、現実的なエージェントフレームワークと簡単に統合できる。 モジュールであり、エージェントがデプロイされる環境の詳細から攻撃の開発を分離する。
  論文  参考訳（メタデータ） (2025-04-18T20:36:10Z)
• MCP Guardian: A Security-First Layer for Safeguarding MCP-Based AI System [0.0]
  MCPガーディアンは、認証、レート制限、ロギング、トレース、Web Application Firewall(WAF)スキャンによるMPPベースの通信を強化するフレームワークである。 弊社のアプローチは、AIアシスタントのためのセキュアでスケーラブルなデータアクセスを促進する。
  論文  参考訳（メタデータ） (2025-04-17T08:49:10Z)
• MCP Safety Audit: LLMs with the Model Context Protocol Allow Major Security Exploits [0.0]
  Model Context Protocol (MCP) は、大規模言語モデル(LLM)、データソース、エージェントツールへのAPI呼び出しを標準化するオープンプロトコルである。 現在のMPP設計はエンドユーザーに幅広いセキュリティリスクをもたらすことを示す。 任意のMPPサーバのセキュリティを評価するために,安全監査ツールであるMPPSafetyScannerを導入する。
  論文  参考訳（メタデータ） (2025-04-02T21:46:02Z)
• Commercial LLM Agents Are Already Vulnerable to Simple Yet Dangerous Attacks [88.84977282952602]
  最近のMLセキュリティ文献は、整列型大規模言語モデル(LLM)に対する攻撃に焦点を当てている。 本稿では,LLMエージェントに特有のセキュリティとプライバシの脆弱性を分析する。 我々は、人気のあるオープンソースおよび商用エージェントに対する一連の実証的な攻撃を行い、その脆弱性の即時的な影響を実証した。
  論文  参考訳（メタデータ） (2025-02-12T17:19:36Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• Certifiably Robust Policy Learning against Adversarial Communication in Multi-agent Systems [51.6210785955659]
  多くのマルチエージェント強化学習(MARL)では,エージェントが情報を共有し,適切な判断を下す上でコミュニケーションが重要である。 しかし、ノイズや潜在的な攻撃者が存在する現実世界のアプリケーションに訓練された通信エージェントを配置すると、通信ベースのポリシーの安全性は過小評価されている深刻な問題となる。 本研究では,攻撃者が任意の$CfracN-12$エージェントから被害者エージェントへの通信を任意に変更できる,$N$エージェントを備えた環境を検討する。
  論文  参考訳（メタデータ） (2022-06-21T07:32:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。